Tag Archive for webscarab

Web Hacking : Una línea para manejarlos a todos

¿Podría darte una línea de código acceso a un sitio Web completo? ¿Qué información obtendría un atacante si consiguiera llegar al nivel más bajo de tu página Web? es decir, a tu BBDD o SSOO. Dependiendo del objetivo de la misma podría encontrar seguramente información sobre la identidad de los usuarios, transacciones bancarias, compras online, usuarios, contraseñas y mucho más.

¿Cuánto vale tu información? Debemos de establecer unos controles de seguridad mínimos a nuestro sitio Web, llevar a cabo una serie de auditorías de seguridad que garanticen el buen funcionamiento de la misma. No sólo tener en regla la política de cookies y poco más, sino os puede ocurrir como la Web con la que me encontré hace unas semanas a la hora de preparar una charla. Antes de nada os muestro un disclaimer.


Aviso Legal y Descargo de Responsabilidad

  1. El objetivo de lo mostrado a continuación tiene fines educativos para aprender a mejorar la seguridad de nuestros sitios Web.
  2. No nos hacemos responsables del mal uso que se le pueda dar a las herramientas mostradas.
  3. Toda la auditoría Web mostrada a continuación se ha llevado a cabo con permisos de sus administradores según lo acordado en documento legal.

Vamos a llevar a cabo la auditoría de un sitio Web siguiente la metodología OWASP, concretamente seguiremos la OWASP Testing Guide V4. Los diferentes puntos que abarca dicha metodología los podéis ver detalladamente en el enlace anterior. A continuación nombramos los aspectos generales a tratar.

Read more

Web Security Dojo – Auditoría de aplicaciones Web

Hola de nuevo, después de unas semanas de stand-by volvemos de nuevo con artículos interesantes que espero que sean de vuestro agrado.

Voy a empezar con un artículo sobre Dojo, mi última “adquisición” y en la que estoy inmerso desde hace ya algunos días.

Dojo es una distribución Linux (Ubuntu para ser más exactos) que incluye una serie de aplicaciones que hacen de ésta una herramienta perfecta para testear aplicaciones Web o para probar nuestros conocimientos en Web Security. Desarrollada por Maven Security, podéis encontrar más información así como enlaces de descarga en la página Web oficial de Maven Security:

http://www.mavensecurity.com/web_security_dojo/

Como ya he comentado antes, se trata de una plataforma que nos ofrece todas las aplicaciones necesarias para realizar pruebas de intrusión en aplicaciones Web. Dojo divide sus aplicaciones en dos grandes grupos: Tools y Targets (herramientas y objetivos).

En el grupo de las Tools nos podemos encontrar desde Proxies, herramientas automatizadas de testeo o herramientas de testeo exclusivas para SQL Injection, como es el caso de sqlmap. Entre los servidores Proxy destacar Webscarab, que también lo podéis instalar de forma independiente en vuestro sistema operativo. Se trata de un proyecto OWASP, open source obviamente y multiplataforma ya que está desarrollado en Java. Entre las herramientas automatizadas, de momento me quedo con w3af, desarrollado por Andrés Riancho, y que testea una url en busca de las vulnerabilidades más conocidas; SQL Injection, XSS, CSRF, osCommanding y muchos más. La herramienta sqlmap es capaz de encontrar posibles inyecciones SQL en una url e incluso descubrir información sensible de la base de datos.

En el grupo de los Targets nos podemos encontrar con el famoso Hacme Casino, WebGoat de OWASP, el Framework de w3af o Damn Vulnerable Web Application (DVWA) entre otros. Todos ellos ya preparados para ser probados y explotados.  Además, para los ya iniciados, DVWA por ejemplo, cuenta con varios niveles de dificultad.

Todo esto y más, hace de Dojo una de las distribuciones más completas para auditar aplicaciones Web, yo diría que es el Backtrack del Web Security.

IMPORTANTE: La imagen VMWare me dió problemas, instalé la imagen del VirtualBox y sin problemas.

En próximos artículos veremos Dojo en acción, en concreto ya estoy preparando un artículo de SQL Injection Básico, usando Dojo.

¡Hasta pronto!